Mach-O Man 惡意軟體在 Lazarus Group 的加密貨幣攻擊行動中竊取 macOS Keychain 資料

📄完整原文· 由 trafilatura 自動擷取Gemini 翻譯5130 字

北韓的 Lazarus Group 部署了一套名為 Mach-O Man 的模組化 macOS 惡意軟體套件，該套件利用偽造的會議邀請，竊取金融科技高管與開發人員的憑證及加密貨幣錢包存取權。 Mach-O Man 惡意軟體在 Lazarus Group 的加密貨幣行動中竊取 macOS Keychain 資料重點摘要： - 北韓的 Lazarus Group 於 2026 年 4 月部署了針對 macOS 加密貨幣與金融科技領域使用者的 Mach-O Man 惡意軟體。 - Bitso 的 Quetzal Team 確認該 Go 編譯套件可透過四個階段進行憑證竊取、Keychain 存取及資料外洩。 - 安全研究人員於 2026 年 4 月 22 日呼籲企業封鎖基於 Terminal 的 ClickFix 誘餌，並審查偽裝成 Onedrive 的 LaunchAgents 檔案。研究人員揭露針對美國加密貨幣與 Web3 企業的北韓 macOS 惡意軟體 Bitso 的 Quetzal Team 安全研究人員與 ANY.RUN 沙盒平台合作，在分析了他們命名為「North Korea’s Safari」的行動後，於 2026 年 4 月 21 日公開了該套件。該團隊將此套件與 Lazarus 近期的大規模加密貨幣竊案連結，包括針對 KelpDAO 與 Drift 的攻擊，並指出該組織持續鎖定 Web3 與金融科技領域的高價值 macOS 使用者。 Mach-O Man 以 Go 語言編寫並編譯為 Mach-O 二進位檔案，使其能原生運行於 Intel 與 Apple Silicon 機型。該套件分為四個不同階段運行，旨在收集瀏覽器憑證、macOS Keychain 項目及加密貨幣帳戶存取權，隨後刪除自身痕跡。感染始於社交工程，而非軟體漏洞。攻擊者入侵或冒充 Web3 與加密貨幣圈內同事的 Telegram 帳號。目標對象會收到一則緊急的 Zoom、Microsoft Teams 或 Google Meet 會議邀請，連結至極具說服力的偽造網站，例如 update-teams.live 或 livemicrosft.com。偽造網站會顯示模擬的連線錯誤，並指示使用者複製並貼上 Terminal 指令以解決問題。這種稱為 Clickfix 的技術在此被改編用於 macOS，引導使用者透過 curl 執行初始階段檔案 teamsSDK.bin。由於使用者是手動執行指令，macOS Gatekeeper 不會進行攔截。該階段檔案會下載一個偽造的應用程式套件，應用臨時程式碼簽章使其看起來合法，並提示使用者輸入 macOS 密碼。視窗會在前兩次嘗試時晃動，並在第三次接受憑證，這是為了建立虛假信任而刻意設計的。隨後，根據研究人員的報告與其他說法，一個分析二進位檔案會列舉機器的 hostname、UUID、CPU、作業系統詳細資訊、執行中的處理程序，以及 Brave、Chrome、Firefox、Safari、Opera 與 Vivaldi 的瀏覽器擴充功能。研究人員指出，該分析程式包含一個會產生無限迴圈的程式錯誤，導致明顯的 CPU 飆升，這可能會暴露活躍的感染。接著，一個持久化模組會將一個重新命名為 Onedrive 的檔案放入名為「Antivirus Service」資料夾下的隱藏路徑中，並註冊一個名為 com.onedrive.launcher.plist 的 Launchagent，以便在登入時自動執行。最後階段是一個標記為 macrasv2 的竊取二進位檔案，它會收集瀏覽器擴充功能資料、SQLite 憑證資料庫與 Keychain 項目，將其壓縮成 zip 檔案，並透過 Telegram Bot API 外洩該封裝檔。研究人員在二進位檔案中發現了暴露的 Telegram bot token，他們稱這是一次重大的營運安全失誤，可能使防禦者能夠監控或中斷該頻道。 Quetzal Team 公布了所有主要元件的 SHA-256 雜湊值，以及指向 IP 位址 172.86.113.102 與 144.172.114.220 的網路指標。安全研究人員指出，已觀察到 Lazarus 以外的組織也在使用該套件，這顯示該工具已在威脅行為者生態系統中被共享或販售。 Lazarus（也被威脅情報公司追蹤為 Famous Chollima）在過去幾年中被認為與

資料狀態✓ 已擷取全文閱讀原文（Bitcoin.com）

🔍歷史類似事件· 關鍵字 + 標的比對6 則

2026-04-22

與 Lazarus 相關的 macOS 惡意軟體鎖定加密貨幣與金融科技公司

相似度 230%關鍵字 macos/crypto/malware

2026-04-22

Lazarus Group 透過新的 Mach-O Man 攻擊變得格外危險：CertiK

相似度 230%關鍵字 mach/man/group

2026-04-22

Apple Mac 用戶小心！北韓駭客 Lazarus 祭出全新惡意軟體「Mach-O Man」：一個動作接管你的電腦

相似度 180%關鍵字 mach/man/lazarus

2026-04-30

X 用戶討厭 Crypto：Snooze 數據揭露最常被靜音的話題

相似度 130%關鍵字 data/crypto

2026-04-29

FBI 調查男子失蹤案，涉案 100 萬美元資金流向 Gold 與 Crypto

相似度 130%關鍵字 man/crypto

2026-04-25

美國 DOJ 判處一名男子 70 個月監禁，因其在 2.63 億美元詐騙集團中扮演的角色

相似度 130%關鍵字 man/group

💡 目前用關鍵字 + 標的比對（MVP）· 之後會升級為 embedding 語意搜尋

原始資訊

ID：9a8da10988

來源：Bitcoin.com

發佈：2026-04-22 13:20:43

分類：一般 · 導出分類 neutral

標的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言